第一篇：15匯邦人壽保險股份有限公司-信息技術部-互聯(lián)網業(yè)務安全管理辦法

匯邦人壽保險股份有限公司-信息技術部

匯邦人壽保險股份有限公司 互聯(lián)網業(yè)務安全管理辦法

匯邦人壽保險股份有限公司-信息技術部

目錄

第一章總則........................................................3 第二章基礎架構安全規(guī)范............................................3 第三章應用系統(tǒng)安全規(guī)范............................................4 第四章附則........................................................5

匯邦人壽保險股份有限公司-信息技術部

第一章總則

第一條 為規(guī)范公司互聯(lián)網電子商務平臺的經營活動，保護企業(yè)和消費者合法權益，依據保監(jiān)會《保險公司信息系統(tǒng)安全管理指引（試行）》等相關規(guī)定，特制定本管理辦法。

第二條 本管理辦法適用范圍為涉及電子商務系統(tǒng)管理、開發(fā)、維護和使用的所有部門。

第二章基礎架構安全規(guī)范

第三條 公司應為互聯(lián)網交易劃定獨立網絡區(qū)域，與其他網絡區(qū)域建立明確的安全邊界。信息技術部門人員需從網絡各級建立完善的訪問控制措施,安裝防火墻（含應用防火墻）、入侵檢測,加強授權管理和認證。

第四條 電子商務交易系統(tǒng)應建立與內部財務系統(tǒng)、其他核心業(yè)務系統(tǒng)，以及合作單位網絡、信息系統(tǒng)的有效隔離機制，并嚴格控制數(shù)據流向，做好相應管理。

第五條 信息技術部應加強系統(tǒng)主機本身的安全,做好安全配置;及時安裝安全補丁程序,減少漏洞;安裝防病毒軟件，啟用防火墻,加強內部網的整體防病毒措施;使用各種系統(tǒng)漏洞檢測軟件定期對主機系統(tǒng)進行掃描分析,找出可能存在的安全隱患,并及時加以修補。

第六條信息技術部利用相應的數(shù)據存儲技術加強數(shù)據備份和恢復措施;對敏感的設備和數(shù)據要建立必要的物理或邏輯隔離措施;對在公共網絡上傳輸?shù)拿舾行畔⒁M行一定強度的數(shù)據加密;建立詳細的安全審計日志,以便檢測并跟

匯邦人壽保險股份有限公司-信息技術部

蹤入侵攻擊。

第七條 信息技術部應建立健全日志留痕功能，保留銷售、服務等交易日志、以及投保人操作軌跡等投保相關信息，確保交易行為可稽核，滿足風險控制和業(yè)務審計要求。

第八條 原則上，公司電子商務系統(tǒng)應建立在公司自有及自主可控的硬件平臺之上，如有特殊情況需依托于外部云計算資源的，應明確與虛擬化資源相對應的具體物理機器設備。公司應與云計算服務提供商簽訂書面協(xié)議，確保數(shù)據安全和業(yè)務連續(xù)性。

第三章 應用系統(tǒng)安全規(guī)范

第九條 任何系統(tǒng)在部署到互聯(lián)交易區(qū)內之前，應先通過信息技術部組織的功能及性能測試。

第十條 互聯(lián)網交易區(qū)內的系統(tǒng)部署、變更、撤銷均需經信息技術部及分管領導審批同意。

第十一條 信息技術部應充分利用各種技術手段，加強客戶信息的使用管理和密碼管理。

第十二條 信息技術部應該加強相關人員的管理和行業(yè)操守培訓，嚴禁相關人員未經授權向第三方提供客戶信息。

第十三條 信息技術部應加強電子單證管理，電子保單須采用由國家工業(yè)和信息化部頒發(fā)電子認證服務許可證的電子認證服務商頒發(fā)的數(shù)字證書，符合《電子簽名法》有關要求。

第十四條 通過合作機構網站經營互聯(lián)網保險業(yè)務，應

匯邦人壽保險股份有限公司-信息技術部

于合同成立24小時內將保單完整信息導入人身保險公司核心業(yè)務系統(tǒng)，保監(jiān)會另有規(guī)定的應遵循相關規(guī)定。

第四章附則

第十五條 本管理辦法由信息技術部負責修訂和解釋。第十六條 本管理辦法自發(fā)布之日起實施。

第二篇：互聯(lián)網金融有限公司信息安全審計管理辦法

西安北創(chuàng)互聯(lián)網金融信息服務有限公司

信息安全審計管理辦法

第一章 總則

第一條 為督促落實各項網絡與信息安全管理辦法、技術規(guī)范，規(guī)范各項網絡與信息安全檢查工作（以下簡稱“信息安全審計”，根據總部信息安全相關文件規(guī)定，特制訂本辦法。

第二條 安全審計內容分為管理和技術兩個方面，管理審計檢查安全管理制度的執(zhí)行情況；技術審計檢查企業(yè)網、局域網、互聯(lián)網出口和各信息系統(tǒng)符合設備安全技術要求、安全配置要求以及其他技術規(guī)范的情況。第三條 安全審計通過設立獨立的審計崗位或交叉審計等方式開展。

第二章 適用范圍

第四條 本辦法適用于西安北創(chuàng)互聯(lián)網金融信息服務有限公司和各分公司。

第五條 可依據本辦法開展企業(yè)網、局域網、互聯(lián)網出口和各信息系統(tǒng)的安全審計，開展信息安全等其他安全管理方面的審計。

第六條 用于指導開展定期和不定期，全面和針對特定目的的安全審計。

第三章 組織與職責

第七條 發(fā)起網絡與信息安全審計工作的部門是：總公司信息管理處、各分公司信息管理部門。

第八條 信息管理處在西安北創(chuàng)互聯(lián)網金融信息服務有限公司信息安全領導小組的領導下，組織開展所轄子公司信息安全審計工作：

（一）落實總部信息安全工作總體安排；

（二）組織制定信息安全審計細則；

（三）組織制定并實施公司級的信息安全審計計劃；

（四）對各分公司進行指導、審批、檢查和備案；

（五）匯總、審閱信息安全審計報告，制定整改方案，解決發(fā)現(xiàn)的突出問題，重大問題或者需要對技術、管理流程做出重大調整時，應向西安北創(chuàng)互聯(lián)網金融信息服務有限公司信息化領導小組匯報。第九條 各分公司信息部門職責：

（一）配合完成信息安全領導小組、信息管理處安排的信息安全審計任務；

（二）制定本單位內部信息安全審計實施細則；

（三）制定本單位信息安全審計計劃和實施方案，并上報信息管理處備案審核；

（四）按照信息安全審計計劃實施工作；

（五）提交信息安全審計報告，針對審計發(fā)現(xiàn)的問題，形成改進方案。

第四章 信息安全審計重點內容

第十條 信息安全審計原則：對重要系統(tǒng)、核心設備、規(guī)章制度和技術要求，進行重點檢查。第十一條 信息安全審計頻次：

（一）針對公司范圍進行的全面審計，每年一次，不定期開展；

（二）對局部范圍進行的安全策略技術審計，根據總部信息安全等級保護文件規(guī)定，三級系統(tǒng)每半年審計一次，三級以下系統(tǒng)每年審計一次，并形成分系統(tǒng)的審計報告。

第十二條 信息安全審計重點應包括重點要求、重點規(guī)范、重要系統(tǒng)中的重要設備，以及用戶的操作行為等。

第五章 審計內容和審計方法

第十三條 安全審計主要依據各項安全管理規(guī)定和技術檢查，檢查具體要求的落實情況。

第十四條 審計方法包括：對安全運行維護等記錄的抽樣檢查、系統(tǒng)檢查、現(xiàn)場訪問等。

第十五條 可以采用人工和技術手段進行。

第六章 工作步驟

第十六條 制定計劃，確定審計范圍、審計重點、時間安排、審計人員和配合人員安排，采用的技術手段、主要風險及規(guī)避方案等。

第十七條 細化審計內容。審計的系統(tǒng)范圍，檢查的重點項，各個系統(tǒng)中增刪改等重點操作的指令、關鍵詞等。第十八條 編寫《信息安全審計檢查表》等工作底稿。檢查表應包括信息安全審計內容、審計方式、依據標準、審計方法、審計結果、問題描述、審計人員和被審計人員簽字欄等。第十九條 按照《信息安全審計檢查表》，采用人工和技術手段相結合的方式，進行抽樣檢查、系統(tǒng)檢查、現(xiàn)場訪問等，并逐一記錄結果。

第二十條 提交《信息安全審計報告》，總結審計情況，分析主要問題，提出改進意見及下次審計重點等建議。第二十一條 被審計系統(tǒng)責任部門按照審計報告，形成《信息安全審計問題整改計劃及實施方案》，并提交《信息安全審計改進情況報告》。

第二十二條 各方簽字的《信息安全審計報告》、《信息安全審計問題整改計劃及實施方案》和《信息安全審計改進情況報告》等相關文檔，經過審批后提交信息安全領導小組、信息管理處存檔。

第七章 監(jiān)督執(zhí)行

第二十三條 各信息部門應督促各級領導對辦法執(zhí)行情況進行有效監(jiān)督和管理。第二十四條 本辦法自下發(fā)之日起執(zhí)行。